Nis2 – Alt du behøver at vide

DALL·E 2023-01-04 16.06.23 - create an image of the eu flag with a lock inside of it

Hvad er NIS2? 

NIS2-direktivet (Network and Information Security) er et af de seneste direktiver formuleret af EU. NIS2-direktivet har til formål at forbedre IT-sikkerheden på tværs af EU´s virksomheder og er målrettet en række forskellige brancher.
Direktivets endelige tekst blev godkendt 10. november 2022, hvilket betyder, at alle relevante organisationer forventes at overholde de nye krav i 2024. Direktivet vil sikre, at alle organisationer, der tjener en væsentlig funktion i samfundet, har et højt IT-sikkerhedsniveau.

NIS2s 3 hovedmål er at:

  • Øge IT-modstandsdygtigheden på tværs af væsentlige tjenesteudbydere
  • Strømline modstandsdygtigheden gennem strengere sikkerhedskrav og sanktioner for overtrædelser
  • Forbedre EU’s beredskab til at håndtere IT-angreb

Hvilke virksomheder er omfattet af NIS2?

En lang række virksomheder inden for f.eks. energi, forsyning, finans, digital infrastruktur, cloud computing, drikkevand og distribution er alle omfattet af NIS2-direktivet.

NIS2 forventes desuden at indføre en minimumsgrænse, der betyder, at “små” og “mikro”-virksomheder ikke bliver omfattet af lovgivningen. “Små” og “mikro”-virksomheder er betegnelsen for virksomheder med færre end 50 ansatte eller med en årlig omsætning på under 10 millioner euro. EU indfører minimumsgrænsen for at sikre, at alle mellemstore og store organisationer bliver omfattet af direktivet.

Enkelte mikrovirksomheder og små virksomheder er dog – på trods af deres størrelse – alligevel omfattet af NIS2-direktivet. Det gælder for:

  • Udbydere af offentlige elektroniske kommunikationsnet eller offentligt tilgængelige elektroniske kommunikationstjenester
  • Tillidstjenesteudbydere (valideringstjenester)
  • Udbydere af topdomænenavneregistre (TLD) og domænenavnssystemer (DNS)
  • Enheder, der er eneudbyder af en ydelse i en medlemsstat, som er væsentlig for vedligeholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter
  • Enheder, der leverer ydelser der er kritiske for samfundet, offentligheden eller en konkret sektor

    Du kan se den komplette liste af virksomheder, der er omfattet af NIS2, her: https://ec.europa.eu/newsroom/dae/document.cfm?doc_id=72172

Hvornår kommer NIS2?

Det træder i kraft senest 21 måneder efter vedtagelsen den 10. november 2022.

Hvordan skal du forholde dig til NIS2?

Du skal først om fremmest finde ud af om din virksomhed falder inden for målgruppen. Herefter vil vi anbefale, at du allierer dig med en rådgiver, der kan hjælpe med at danne et overblik og en risikoanalyse.

Et godt sted at starte kunne være at få udarbejdet en IT-sikkerhedspolitik. Derfor skal I sikre, at I har databehandleraftaler på plads med alle leverandører.